美国政府问责办公室(GAO)的一份新报告显示,美国农业部、国土安全部(DHS)、劳工部和财政部尚未对其系统全面实施六项关键的云安全措施。
根据这份60页的GAO报告(PDF),只有一个机构在大多数系统上全面实施了四项措施,而其他三个机构在其系统上全面实施了三项措施。GAO表示,剩下的措施要么部分实施,要么根本没有实施。
GAO表示,几乎所有系统都已全面实施的云安全措施包括定义安全责任、记录ICAM政策和程序,以及记录事件响应和恢复的程序。
部分实施或未实施的云安全措施包括在服务级别协议(SLA)中定义安全指标、实施持续监控以及解决FedRAMP要求。
GAO指出:“尽管这些机构制定了持续监控计划,但它们并未始终执行这些计划。此外,机构的服务级别协议并未一致地定义性能指标,包括如何测量以及执行机制。”
根据该报告,联邦机构应全面实施所有关键的云安全措施,以确保其云系统中所含信息的机密性、完整性和可用性不受风险威胁。
在其报告中,GAO提出了35项推荐,以实施这些措施,并指出,尽管国土安全部同意了这些推荐,但农业部、劳工部和财政部对这些推荐既不同意也不反对。
据GAO表示,农业部需要充分记录PaaS(平台即服务)系统的访问授权,对选定的PaaS和SaaS(软件即服务)系统实施持续监控,与云服务提供商(CSP)在服务级别协议中定义性能指标,向FedRAMP项目管理办公室提供授权函以用于选定的SaaS系统,并要求服务提供商遵守FedRAMP安全授权要求。
国土安全部需要对选定的PaaS、SaaS和IaaS(基础设施即服务)系统全面实施持续监控,定义服务级别协议中的性能指标,实施选定的IaaS、PaaS和SaaS系统的FedRAMP要求,并要求服务提供商遵守FedRAMP安全授权要求。
劳工部需要对选定的PaaS和IaaS系统实施持续监控,定义服务级别协议中的性能指标,全面实施选定的IaaS、PaaS和SaaS系统的FedRAMP要求,在授权发放时向FedRAMP项目管理办公室提供授权函,并要求服务提供商遵守FedRAMP安全授权要求。
财政部需要为选定的SaaS系统定义安全责任,对选定的PaaS和SaaS系统实施持续监控,定义服务级别协议中的执行机制,实施FedRAMP要求,要求服务提供商遵守FedRAMP安全授权要求,并为选定的SaaS系统记录响应和恢复程序。
